2025年上半期、イギリスの小売業界を狙った連続ハッキング事件が相次いで発生した。Marks & Spencer(M&S)、Co-op、Harrods――単なる小売ブランドにとどまらず、イギリス社会全体から信頼を集めていたこれらの企業がハッカーの標的となり、その余波は小売業界全体に大きな警鐘を鳴らすこととなった。
本記事では、これらの企業でどのようなセキュリティ事故が発生したのか、そして攻撃対象領域管理ソリューション(ASM)を導入していれば、外部に公開された資産をどのように先回りして検知・対処できたのかを考察する。Criminal IP ASMの実際のUIメニューを基に、各機能がこのようなハッキング被害を事前にどのように防ぐことができたかを分析していく。
小売業界がハッカーの主要な標的となった理由
小売業界は構造的にサイバー脅威に脆弱です。
顧客の氏名、決済情報、購買履歴などはハッカーにとって非常に価値のあるデータであり、店舗のPOS、物流システム、モバイルアプリ、管理者ページなど、多様な接点が外部インターネットと接続されているため、攻撃対象領域が非常に広いです。
また、多段階のサプライチェーン構造や外部委託業者とのシステム連携は管理の盲点を生み出し、ハッカーはその隙を突いて攻撃を仕掛けてくる。
被害の概要:主要小売3社におけるサイバー攻撃事例
1. Marks & Spencer (M&S)
- 攻撃の時期:2025年4月22日
- 被害内容:顧客の個人情報流出、全国店舗における決済システムの障害、Click & Collectサービスの一時停止
- 特記事項:ハッカーがCEOを標的にし、直接ランサムを要求
- 公式発表:「決済情報の流出は確認されていないが、顧客の個人情報は侵害された」(WSJ報道)
2. Co-op
- 攻撃組織:DragonForce
- 被害内容:顧客の氏名、メールアドレスなどを含むデータベースの窃取
- 公式発表:「金融情報の流出は確認されていないが、一部の会員情報が侵害された」
3. Harrods
- 攻撃の時期:同時期に発生し、組織的な攻撃と推定される
- 共通点:いずれも外部資産の露出を起点とした侵入の形跡がある
Criminal IP ASMで検知可能な露出ポイント
Criminal IP ASMは、インターネット上に公開された組織のIP、ドメイン、証明書、ポートなどのIT資産を自動で収集し、リスクをリアルタイムで検出します。検出されたリスクはダッシュボードやレポートで直感的に把握でき、脅威の優先度(High / Medium / Low)に応じて対応が可能です。
Criminal IP ASMは、以下の7つの主要メニュー構成により、組織外部に露出した資産を体系的に管理し、サイバー攻撃の早期検知と先回りの対応を可能にします。
各メニューは、「検出 → 分類 → 追跡 → 警告 → 対応」という流れで連携しており、リテール業界のような複数システムが混在する環境でも、実効的なセキュリティ運用効率を確保できるよう設計されています。
以下では、各メニューが果たす役割と、それによってM&S、Co-op、Harrodsといったリテール企業がどのように脅威を遮断できたのかを見ていきます。
1. ダッシュボード(Dashboard)- すべての資産とリスクを一目で把握
ダッシュボードでは、組織全体の資産状況、検出されたリスクの概要、地理的な分布、サービス情報などを視覚的に総合把握することができます。
これにより、リスクが集中しているエリアや国を迅速に特定し、リスクの規模や性質を直感的に理解することが可能です。
→ M&Sのように複数の国に店舗を展開するグローバルリテール企業は、ダッシュボードを通じて特定地域のサーバーに集中するリスクを迅速に把握し、グローバルな対応戦略を立てることができたと考えられます。
2. IP資産(IP Assets)- 外部から検出可能なIPインベントリ
IP資産(アプリケーション)メニューでは、外部から検出可能な組織のIPアドレス一覧が表示され、各資産に対するオープンポート、稼働中のアプリケーション、所属AS(Autonomous System)情報などが併せて提供されます。
特に、直近一定期間内に新たに識別されたIP資産を自動的に抽出して提示するため、新たに外部に露出した資産を早期に把握し、即時対応するのに効果的です。
→ Co-opのテストサーバーのように管理されていない外部IPアドレスが公開されていた場合でも、IP資産メニューを通じて事前に把握し、放置された資産を除去できていた可能性が高いです。
3. ドメイン/証明書 – ドメインと証明書の統合監視
このメニューでは、組織が運用しているドメインおよびサブドメイン、SSL証明書の有効性や有効期限、暗号化レベルなどを一括で確認・モニタリングすることができます。
期限切れの証明書や放置されたサブドメインは、攻撃者にとって侵入経路として悪用されやすいため、これらの情報を統合的に管理することは、先制的なセキュリティ戦略の要となります。
→ 例えば、*[.]marksandspencer[.]com配下にテストページが公開されていた場合でも、本メニューから把握し、適切に対応することができます。
4. リスク- 自動検出されたリスクの優先順位管理
リスクメニューでは、ASMが自動で検出した脆弱性、旧バージョンのソフトウェア、危険なオープンポートなどの情報を、リスクレベル(High / Medium / Low)ごとに分類して提供します。
セキュリティ担当者はこの分類をもとに、優先的に対応すべき項目から処理を進めることができ、社内のセキュリティチームのリソースを効率的に配分することが可能です。
→ 例えば、ポート3389が開放されたRDPサーバーや、旧バージョンのApache(2.4.6)などは「High」に分類されます。
5. 追跡ログ- リスクの変化履歴を
追跡ログメニューでは、資産ごとにリスクが発生した時点と解消された時点を、時系列のログとして記録・表示します。
これにより、セキュリティ対策の効果を検証したり、攻撃の兆候を時系列で分析して適切な対応タイミングを判断することが可能です。
→ Co-opのように、攻撃者が事前にスキャンを行った後に攻撃を実行したケースでは、リスクの状態変化が本メニューにログとして記録され、フォレンジック調査や対応履歴の追跡が可能となります。
6. OSINT- Google検索に公開された情報を検出
OSINTメニューでは、公開されているGoogleインデックスデータをもとに、組織の資産や「admin」「backup」などの機密性の高いディレクトリが検索エンジンに公開されているかをリアルタイムで検出します。
このような情報の公開は、検索だけで攻撃対象の資産にアクセスできてしまうリスクの高い状況を意味するため、早期に遮断することが非常に重要です。
→ 「admin」や「backup」などの機密性の高いディレクトリが外部検索エンジンに公開されていた場合でも、迅速に発見し、遮断することができたと考えられます。
7. DarkWeb ークウェブ上で流通している資産情報を検出
Dark Webメニューでは、組織のメールアドレス、ドメイン、アカウントなどの情報がダークウェブ上で実際に流通しているかを確認することができ、流出の時期や関連サイト名などの詳細な情報も提供されます。
これにより、二次被害の拡大を防止し、外部への対応メッセージを事前に準備することが可能となります。
→ M&Sの顧客データが攻撃後にダークウェブ上で共有されていた場合でも、本メニューを通じてリアルタイムで流通状況を確認し、早期に対応メッセージを発表することができたと考えられます。
FAQ
Q. 小売業界はなぜサイバー攻撃に脆弱であり、従来のセキュリティソリューションだけでは不十分なのでしょうか?
小売業界は、顧客情報や決済データといった高価値な資産を扱い、店舗・ウェブサイト・アプリなど多様なインターネット接点を運用しているため、攻撃対象領域が広くなりがちです。特に、外部に公開されたポート、テストシステム、未使用のサブドメインなどは、攻撃者にとって侵入しやすい入口となり、また多段階のサプライチェーンや外部委託されたシステムは、セキュリティ上の盲点となることが少なくありません。しかし、ファイアウォールやウイルス対策ソフト、EDRなどの従来型ソリューションは、主に社内システムの保護に焦点を当てており、インターネット上に露出した資産やShadow ITまでは検出できません。実際に、M&SやCo-opの事例では、外部に露出していた資産が攻撃に悪用されており、それを防ぐためには、Criminal IP ASMのような外部攻撃対象領域管理(ASM)ソリューションの導入が不可欠です。
結論
今回の英国小売大手3社に対する一連のハッキングは、単なるシステムの不具合ではなく、外部に露出した資産がどのようにして全社的な被害へとつながるのかを示す典型的な事例です。見えないところで攻撃者は常に侵入の機会をうかがっており、それを先んじて検知できなければ、防御する機会すら得られません。
Criminal IP ASMは、攻撃対象領域を自動的に識別し、リスクの優先度に基づいた対応ガイドを提供します。「インシデント発生後の対応」ではなく、「インシデント発生前の防御」を実現するための中核ツールです。
関連記事として「ASMの観点から見た韓国知能情報社会振興院(NIA)の管理者ページ公開事件」もぜひご覧ください。
本レポートは、サイバー脅威インテリジェンス検索エンジン「Criminal IP」と、インテリジェンスベースの攻撃対象領域管理ソリューション「Criminal IP ASM」のデータをもとに作成されています。Criminal IP ASMが提供する攻撃対象領域管理の全機能をご確認いただけるほか、無料デモを通じてご自身の資産の攻撃対象領域をモニタリングすることも可能です。
データソース: Criminal IP (https://www.criminalip.io/ja), 뉴스1(https://www.news1.kr/world/europe/5772650), WSJ(https://www.wsj.com/tech/cybersecurity/marks-and-spencer-group-says-hackers-stole-customers-personal-data-fbc2cb73?), BBC(https://www.bbc.com/news/articles/cr58pqjlnjlo, https://www.bbc.com/news/articles/crkx3vy54nzo),
関連記事:
